semplicemente invece di passare alla query le variabili nella forma $var passa addslashes($var)